SaaS のクラウドストレージ活用に潜む危険 ークラウドに預けとけば安心、ではない理由とは

企業のクラウド利用が広がっています。特に Box や G Suite、Office 365 をはじめとしたクラウドストレージの SaaS アプリケーションは専門知識がなくても簡単に使用でき、導入も運用も安価に行えるため、企業規模を問わず導入が加速しています。また少し前の「クラウド = よくわからず怖い」から、「クラウド = データの安全が保障されている場所」という認識が広まっていることも、浸透要因の1つとして考えられます。

ですが、本当に企業のデータは「クラウドに預ければ安心」なのでしょうか。

クラウドを用いた SaaS の利用には、主に「ランサムウェアなどマルウェアの危険性」「データの不透明性」「内部・外部からの盗難」がリスクとして挙げられます。クラウドに預けたデータも、オンプレのサーバなどと同様、自社で保護する必要があるのです。

 

その1. ランサムウェアなどマルウェアの危険性

・概要

ランサムウェアをはじめとし、データ破損の原因となるマルウェアの SaaS クラウドアプリケーション内での被害が多発しています。ランサムウェアの対処法は「バックアップ」ですが、「クラウドにあればデータは守られる」と思い、クラウド内のデータはバックアップ対象外にしてしまうこともあります。

ですが、データの共有場所であり、それだけ感染範囲が広いクラウドアプリケーション内こそ、ランサムウェアに狙われます。ランサムウェアに感染したファイルをクラウドに同期してしまい、そこから全社員のパソコンにランサムウェアがばら撒かれる、ということも考えられます。

実際、マカフィー社の調査によると、回答者の 56% がクラウドアプリケーションを原因としたマルウェアへの感染を経験しています*。

 

・回避策

データ破損を促すようなマルウェアによるリスクを防ぐためには、やはりバックアップが不可欠です。ですが、HDD など物理筐体へのバックアップにもリスクが潜んでいます。特にランサムウェアは、物理的に接続されている筐体、あるいは同じ LAN 内に存在する筐体のデータも暗号化します。

ランサムウェアに暗号化されないクラウドへバックアップすることが重要です。一般的な SaaS クラウドバックアップサービスでは、ランサムウェアが行動できるような一般的な OS ファイルシステムとは異なるものを採用しています。よって、ランサムウェアがファイルを暗号化することはできません。また、多くのサービスに搭載されている「重複排除」「圧縮」機能があれば、クラウド内ではファイルはブロック単位に細かく分けられますから、クラウド内で機能すること(ランサムウェアの場合は暗号化)はできません。

また、それ以外のマルウェアがクラウド経由で組織に侵入することのないよう、デバイス内のセキュリティも強固にする必要があります。仮に侵入されたとしても、マルウェアの行動を検知し、抑制するようなセキュリティソフトの導入が求められます。

 

その2.データの不透明性

・概要

クラウド内で、誰がどのようなデータをどこに保存しているか把握する術がないと考えている企業が多いようです。マカフィー社の調査では、30% もの企業が「可視性が欠如している」と認識しています*。

データの可視性が担保されないと、下記に述べるようなデータの盗難が発生する可能性があります。そもそも、どこにどの程度の機密性のあるデータがあるか分からなければ、様々なリスクから保護することもできません。例えばクラウド内のデータがランサムウェアに暗号化されたり流出した場合、影響範囲の特定もできません。

また、GDPR などのデータ規則などのように、顧客からのでデータ削除要請や提出要請に応えなくてはいけない場合もあります。

企業として、データの可視性を一定水準以上に保つことは必須です。これを諦めた場合、企業が被る被害は単なるデータ損失に止まりません。データの流出が起きたのに影響範囲を特定できず、説明責任を果たせない場合、企業の信頼は大きく損なわれます。GDPR においてデータ主体者(データに主権を持つ個人)からの要請に応えることができない場合、罰金の対象になることもあります。

 

・回避策

従業員のメモファイルまで全て把握している必要はないかもしれません。ですが、機密性のあるデータがどこにあるか、企業として重要なデータが適切に扱われているかを把握することは重要です。

上記を可能にする仕組みが SaaS アプリケーションに備わっているかを確認し、ない場合は別のサードパーティサービスを検討する必要があります。

 

その3. 内部・外部からの盗難

・概要

前述のマカフィー社の調査によると、26% が外部からのデータ盗難を経験し、22% が内部からの流出や盗難を経験しています*。これは新型のサイバー攻撃を経験したとする数を上回っています(21%)。

当然、前述の「可視性」が担保できていないと、影響範囲の特定はおろか、最悪の場合は盗難が起きたことにさえ気づくことができません。

またクラウドに限らず、近年発生した大規模な情報流出事件の多くは、内部犯行を起因とするものです。2014年に発生した 3504万件もの情報流出事件も、内部犯行によるものでした。2016年に IPA が発表した報告では、内部犯行による被害額がもっとも高額でした*。

* 独立行政法人情報処理推進機構「内部不正による情報セキュリティインシデント実態調査」
https://www.ipa.go.jp/security/fy27/reports/insider/

明確な悪意がなく、「自分のものだと思ったから」という理由で、退職する際にデータを持ち出す人もいます。企業は様々な可能性を考慮し、自社内のデータを持ち出されないよう対策を打つべきです。

 

・回避策

誰がどのようなデータをクラウド内に保持しているかなどの可視性を担保すること、急激なダウンロード数の増加などの異常なデータの動きを検知すること、データの外部共有を検知する仕組みを整えることが重要です。特に退職者の場合、退職が決まったら機密データへのアクセスを禁ずるなども考慮するべきです。

また、いつ誰がどのようなデータを保持していたかのログをとることで、被害範囲などを特定することができます。

 

その4. データを守るのは企業の責任

クラウド事業者には、ランサムウェアや盗難からユーザのデータを守る義務はありません。

「預けてるんだから、保護もやってもらえる」というのは思い込みです。クラウド内のデータを保護する責任は、ユーザ企業にあります。
クラウド内のデータもオンプレ内のデータと同様、バックアップを取り、可視性を担保し、アクセス権を制限することが重要です。
※…マカフィー社 「クラウド環境の現状レポートと今後」
https://www.mcafee.com/enterprise/ja-jp/solutions/lp/cloud-security-report.html

お問い合わせはこちら

エンドポイント保護の inSync 詳細はこちら

ファイル共有サービスがデータ保護にならない理由

  • Linked-in